Hallo Uschi,

Ich bin gerade dabei, das zu formulieren, damit
aber noch keineswegs fertig. Ich bastele also noch
nicht, ich hirne noch rum.

hervorragende Einstellung. :-)

Sobald das in verständliche Form gegossen ist,
würde ich dich schrecklich gern damit belästigen.

Fein. Nur zu!

Ich habe auf der einen Seite Seiten. In diesen
Seiten befinden sich irgendwelche Objekte.
Seiten wie darin enthaltene Objekte können
angeguckt, geändert, gelöscht und sonst noch was
werden.

Sind "Objekte" eigene URLs?
Also etwas, das im HTTP-Universum eine Identität hat?

Manche User dürfen die Seite gar nicht sehen,
andere dürfen nur bestimmte Objekte auf der Seite
sehen,

Oh. Das klingt so, als müßtest Du die Seiten dynamisch mit serverseitiger Intelligenz bauen. (Die aber durchaus auf HTTP-Authentication-Informationen zugreifen kann - REMOTE_USER würde helfen, die Gruppenzugehörigkeit müßtest Du allerdings selbst herausfinden.)
Eine Zugriffskontrolle mit broken images wird Deine Anwender alleine nicht glücklich machen.

andere, zum Beispiel ich, dürfen alles sehen.
Das meiste davon ist gruppenbezogen, manchmal darf
aber nur der owner.

Ist "der owner" gleich dem UNIX owner der Datei?
Hast Du Namensgleichheit zwischen der HTTP-Identität und der UNIX-Identität?
Leitet sich die Authentifizierungskonfiguration der HTTP-Seite aus derjenigen der UNIX-Seite ab?
(Gemeinsames Skript zum Anlegen eines Benutzers?)

Damit dürfte auch klar sein, warum ich mit deinem
schönen .htaccess-Artikel hier nicht weiterkomme:
Die .htaccess bezieht sich ja immer auf ein
Verzeichnis.

Ja - aber innerhalb derselben kannst Du mit <Files> beliebig fein Deine Objekte berechtigen. Daran alleine scheitert die Sache also nicht.

Dein Problem ist eher, daß HTTP Authentication Dir keine hinreichend flexiblen Fehlerreaktionen erlaubt, wenn Du Seiteninhalte dynamisch entitlement-basiert aufbauen mußt, ohne daß man dabei sehen kann, daß die Seite für andere Anwender anders aussehen würde.
Das sieht dann also eher nach einem CGI-Skript etc. aus, welches ggf. basierend auf ENV{'REMOTE_USER'} per Dateizugriff (Gruppen-Definitionen) seine Authentifizierung selbst macht und das Ergebnis verwendet, um aus den verfügbaren Objekten (deren Relation zu den Gruppen-Rechten ebenfalls gelesen werden muß) die anzeigbaren herauszusuchen und anschließend die Ausgabe zusammenzukleben.

Mit welchen Browsern muß es funktionieren?
Ich habe innerlich beschlossen, Netscape 4.x draußen zu lassen.
Also Browser, die DOM1 unterstützen.

Meine Frage bezog sich auf Netscape 6.2, der noch kein AuthType Digest kann - falls Kennwort-Übertragung im Klartext Dich nicht stört, würde allerdings AuthType Basic auch reichen.

Ich hoffe, das war jetzt nicht zu allgemein.

Ein allgemeiner Ansatz ist prima - das hält den Kopf frei für die wichtigen Entscheidungen und verhindert, daß Du Dich zu früh auf die Details stürzt.
Sollte eine Design-Entscheidung in dieser Allgemeinheit nicht umsetzbar sein, dann merkt man das spätestens bei der Modellierung der Daten und Algorithmen.

Viele Grüße
      Michael